El 1 de diciembre de 2026, la Ley 21.719 de Chile entra en pleno vigor, creando la primera autoridad dedicada de protección de datos del país y un régimen sancionatorio que alcanza hasta 20.000 UTM, cerca de 1.400 millones de pesos chilenos, por infracción gravísima. Cinco meses antes, el Congreso de Brasil corre contra un calendario electoral que cierra su ventana legislativa en agosto de 2026, el plazo antes del cual el Marco Legal da Inteligência Artificial debe superar la Cámara de Diputados o desplazarse a 2027. México, por su parte, ya ha disuelto por completo a su regulador de protección de datos.
Ningún país sudamericano cuenta todavía con un estatuto de IA dedicado en vigor. El PL 2338/2023 de Brasil fue aprobado por el Senado en diciembre de 2024 y permanece detenido en una comisión especial de la Cámara desde abril de 2025. El PL 043/2025 de Colombia lleva un mensaje de urgencia presidencial y propone una nueva autoridad de IA dentro de MinCiencias, aún en comisión. Argentina tiene varios proyectos de ley que compiten entre sí en Diputados, ninguno promulgado. Esa ausencia de una ley específica de IA no significa ausencia de exposición: los estatutos de protección de datos existentes, las circulares sectoriales y un regulador recién disuelto ya están haciendo el trabajo de aplicación, de forma desigual, país por país.
El resultado es una región donde las cinco jurisdicciones más grandes avanzan en cinco relojes distintos, y donde la brecha entre "todavía no hay ley de IA" y "todavía no hay responsabilidad relacionada con la IA" es donde ocurren la mayoría de los fallos de cumplimiento.
¿Qué países sudamericanos ya tienen una ley específica de IA en vigor?
Ninguna de las cinco jurisdicciones más grandes, a mediados de 2026. El Marco Legal da Inteligência Artificial de Brasil, PL 2338/2023, fue aprobado por el Senado Federal el 10 de diciembre de 2024 por voto simbólico, y luego enviado a la Cámara de Diputados, que creó una Comisión Especial el 4 de abril de 2025 bajo la relatoría del diputado Aguinaldo Ribeiro. A mediados de 2026 el proyecto todavía espera el informe del relator, y la elección presidencial de Brasil del 4 de octubre de 2026 crea una ventana legislativa de facto que se cierra alrededor de agosto de 2026; si la Cámara no vota antes de esa fecha, los observadores esperan que el proyecto se posponga a 2027.
El esfuerzo de Colombia, PL 043/2025 en el Senado y PL 324/2025 en la Cámara, fue presentado en septiembre y octubre de 2025, con un mensaje de urgencia presidencial adjunto ese mismo mes. Propone una clasificación basada en riesgo inspirada en el Reglamento de IA de la UE, un sandbox regulatorio, y una nueva Autoridad Nacional para la IA dentro del Ministerio de Ciencia, Tecnología e Innovación, y permanece en las Comisiones Sextas conjuntas del Senado y la Cámara. Argentina tiene múltiples propuestas paralelas, de la senadora Silvia Sapag y el diputado Daniel Gollán, que clasifican los sistemas de IA por nivel de riesgo y prohíben los sistemas de puntuación social y manipuladores, ninguna promulgada. México no tiene ningún proyecto de ley de IA cerca de la aprobación; las propuestas para reformar el Artículo 73 de la Constitución con el fin de otorgar una facultad legislativa federal explícita en materia de IA se presentaron en 2025 y siguen pendientes.
¿Qué ocurre cuando la Ley 21.719 de Chile entra en pleno vigor el 1 de diciembre de 2026?
Chile obtiene su primera autoridad de protección de datos dedicada y autónoma, la Agencia de Protección de Datos Personales, con poder sancionador real sobre cualquier organización que procese datos personales de personas en Chile, sin importar dónde esté domiciliada. La Ley 21.719 fue publicada en el Diario Oficial el 13 de diciembre de 2024, tras que una Comisión Mixta reconciliara las versiones del Senado y la Cámara, y conlleva una vacatio legis de 24 meses que termina el 1 de diciembre de 2026. Una Comisión Asesora Interministerial de Implementación creada por decreto en 2025 ha estado redactando las primeras instrucciones vinculantes de la Agencia, y el Consejo Directivo nominado para dirigirla todavía esperaba la confirmación del Senado a mayo de 2026, con expectativa de asumir el cargo alrededor de octubre de 2026, semanas antes de que comience la aplicación plena.
El régimen sancionatorio está escalonado bajo los Artículos 34 bis a 35: las infracciones leves conllevan una amonestación escrita o una multa de hasta 5.000 UTM; las infracciones graves, como procesar datos personales sin una base legal válida o no notificar a la Agencia de una vulneración dentro de 72 horas, conllevan hasta 10.000 UTM; y las infracciones gravísimas, incluido el tratamiento de datos sensibles como información de salud, biométrica o de afiliación sindical sin base legal, conllevan hasta 20.000 UTM. Las violaciones gravísimas reiteradas por empresas de mayor tamaño pueden en cambio ser multadas hasta con el 4% de los ingresos anuales en Chile si eso supera el tope del triple multiplicador. Específicamente para la IA, la ley añade derechos exigibles en torno a la toma de decisiones automatizada y la elaboración de perfiles, ausentes en la Ley 19.628 de la era 1999 que reemplaza.
¿Qué rige la IA en Brasil mientras el Marco Legal está estancado en el Congreso?
La Lei Geral de Proteção de Dados, principalmente a través del Artículo 20, que otorga a cualquier titular de datos el derecho de solicitar la revisión de una decisión tomada únicamente mediante el procesamiento automatizado de datos personales, incluidas las decisiones que moldean el perfil de consumo, crédito o profesional de una persona. Un intento de 2019 de exigir que esa revisión fuera realizada por una persona natural fue vetado por el presidente, y el Congreso mantuvo ese veto por un solo voto en el Senado el 2 de octubre de 2019, de modo que la LGPD no exige explícitamente la revisión humana, aunque la ANPD y los tribunales brasileños generalmente han interpretado los deberes de transparencia del Artículo 20 como una exigencia de un control humano significativo y documentado, y no una confirmación de mero trámite.
La aplicación ha madurado mucho más allá de la primera multa pública de la ANPD en julio de 2023. Bajo las reglas de dosimetría de la Resolução CD/ANPD 4/2023, la ANPD puede imponer una multa de hasta el 2% de los ingresos brasileños de la empresa infractora en su último ejercicio fiscal, con un tope de 50 millones de reales por infracción, junto con multas diarias por incumplimiento continuado. Los desencadenantes más comunes en los procedimientos de la ANPD son las fallas de notificación de vulneraciones bajo el Artículo 48, el procesamiento sin base legal válida bajo el Artículo 7, y la falta de un Encargado de Protección de Datos obligatorio bajo el Artículo 41. Las empresas que despliegan IA en Brasil hoy son juzgadas conforme al reglamento de la LGPD, vigente desde hace una década, y no según los niveles de riesgo que introduciría el Marco Legal.
¿Cómo regula Colombia la IA sin todavía tener una ley dedicada?
A través de la Circular Externa 002 de la Superintendencia de Industria y Comercio, del 21 de agosto de 2024, vinculante hoy aunque el PL 043/2025 siga en comisión. La SIC, actuando como autoridad nacional de protección de datos de Colombia bajo la Ley 1581 de 2012, utilizó la circular para establecer que los principios de Habeas Data se aplican en su totalidad a los datos personales procesados dentro de sistemas de IA, independientemente de la tecnología subyacente, y exige a las organizaciones demostrar idoneidad, necesidad, razonabilidad y proporcionalidad siempre que datos personales alimenten un modelo de IA o una decisión automatizada.
Eso significa que una empresa que despliega IA en Colombia ya tiene una obligación de cumplimiento documentada, derivada de la Ley 1581 más la Circular 002/2024, mucho antes de que lleguen la clasificación de riesgo y la nueva autoridad de IA del PL 043/2025. El proyecto propone categorías de alto riesgo definidas por el uso previsto y la gravedad del daño potencial, además de un sandbox regulatorio que permitiría a la futura Autoridad Nacional para la IA autorizar pruebas controladas. Hasta que se apruebe, el reglamento exigible de IA y datos de Colombia es la circular de la SIC, y es el que efectivamente aplican los reguladores.
¿Qué cambió la disolución del INAI de México para la aplicación de la protección de datos?
Eliminó al regulador de privacidad independiente y constitucionalmente autónomo del país y traspasó sus funciones a un organismo dentro del poder ejecutivo. Una reforma constitucional del 28 de noviembre de 2024 extinguió siete organismos autónomos, incluido el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, y el 20 de febrero de 2025 México publicó nuevas versiones de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, ambas en vigor desde el 21 de marzo de 2025. Los recursos, procedimientos abiertos y funciones de aplicación del INAI se transfirieron a la Secretaría Anticorrupción y Buen Gobierno, que ahora investiga las denuncias e impone sanciones bajo ambos estatutos.
En cuanto al fondo, el marco de derechos ARCO y las bases legales para el tratamiento se mantuvieron en gran medida sin cambios, pero ninguno de los dos estatutos fue redactado pensando en la toma de decisiones automatizada, la opacidad algorítmica o el entrenamiento masivo con datos públicos de la web, ya que ambos provienen de textos de la era 2010 y 2017. Las propuestas para reformar el Artículo 73 de la Constitución con el fin de otorgar al Congreso facultad explícita para legislar sobre IA se presentaron en 2025 y siguen pendientes. Por ahora, una empresa que opera IA que involucra datos personales mexicanos responde ante una secretaría que aplica una ley de protección de datos redactada antes de que existiera la IA generativa.
¿Cómo debería un equipo de cumplimiento seguir cinco regímenes descoordinados a la vez?
Empiece por separar lo "ya exigible" de lo "pendiente". La Ley 21.719 de Chile se vuelve exigible el 1 de diciembre de 2026; el Artículo 20 de la LGPD de Brasil y las reglas de dosimetría de la ANPD son exigibles hoy; la Circular 002/2024 de la SIC de Colombia es exigible hoy; los estatutos de protección de datos de México de 2025 son exigibles hoy bajo un nuevo regulador; y todos los proyectos de ley de IA dedicados en la región, tanto en Brasil, Colombia como Argentina, siguen pendientes.
| Jurisdicción | Instrumento relevante para la IA vigente | Estado de la ley dedicada de IA | Fecha clave de 2026 |
|---|---|---|---|
| Brasil | Art. 20 LGPD (decisiones automatizadas) + dosimetría de la ANPD (Res. 4/2023) | PL 2338/2023, pendiente en comisión de la Cámara | Ventana legislativa se cierra alrededor de agosto de 2026 |
| Chile | Ley 19.628 (hasta que sea reemplazada) | Sin proyecto de IA dedicado; la ley de datos cubre la elaboración de perfiles | Ley 21.719 en pleno vigor el 1 de diciembre de 2026 |
| Colombia | Circular Externa 002/2024 de la SIC + Ley 1581/2012 | PL 043/2025S, pendiente en las Comisiones Sextas | Mensaje de urgencia presidencial activo desde septiembre de 2025 |
| Argentina | Ley 25.326 (2000) | Varios proyectos pendientes, ninguno promulgado | Borradores de reforma alineados con la AAIP en el Congreso a lo largo de 2026 |
| México | LFPDPPP y LGPDPPSO, ambas en vigor desde el 21 de marzo de 2025 | Sin proyecto de IA dedicado cerca de la aprobación | La Secretaría Anticorrupción y Buen Gobierno es ahora el único ente aplicador |
Manualmente, eso significa leer cinco diarios oficiales en paralelo y volver a revisar cada uno cada vez que una comisión emite un nuevo borrador de proyecto o un regulador publica una nueva circular. El monitoreo por jurisdicción de Obsidian fue construido para esa carga de trabajo: rastrea cada fuente oficial en el momento de su publicación, señala la resolução, circular, ley o decreto específico que afecta a un marco ya incluido en la lista de seguimiento de una empresa, y convierte cinco pistas nacionales descoordinadas en un único panel con alertas fechadas.
Para los equipos que necesitan la misma respuesta sustentada dentro de un flujo de trabajo en lugar de un panel, esos datos también están disponibles a través de el MCP, de modo que un asistente de IA que ya gestiona otras tareas de cumplimiento puede confirmar si la Agencia de Chile ya ha publicado su primera instrucción vinculante, sin que una persona tenga que verificar la fuente primero. La IA de Obsidian funciona en ese intercambio como un compañero regulatorio, nunca como un sustituto del responsable de cumplimiento que firma la respuesta final, simplemente lleva el dato sustentado antes del plazo y no después.
¿Qué debería hacer a continuación un equipo de gobernanza de IA y datos?
Mapear la exposición por instrumento, no por etiqueta de país. Un equipo en Chile necesita un plan de preparación para la Ley 21.719 construido en torno a la fecha de aplicación del 1 de diciembre de 2026. Un equipo en Brasil necesita un proceso de revisión del Artículo 20 de la LGPD que resista el escrutinio de la ANPD hoy, sin importar el destino del Marco Legal. Un equipo en Colombia necesita documentar la idoneidad, la necesidad y la proporcionalidad bajo la Circular 002/2024 ahora, no una vez que el PL 043/2025 se convierta en ley. Un equipo en México necesita saber que su regulador es ahora una secretaría dentro del poder ejecutivo, no un instituto autónomo, lo que cambia cómo se gestiona en la práctica una denuncia.
Los planes de Obsidian están diseñados para este tipo de seguimiento multijurisdiccional de gobernanza de IA y datos, fuente oficial por fuente oficial, de modo que la próxima resolución de la ANPD, circular de la SIC o instrucción de la Agencia de Protección de Datos llegue al equipo de cumplimiento antes de que llegue a un titular de prensa.